Em algum momento, um dispositivo USB é conectado no computador, seja ele uma impressora, pendrive, CD-ROM ou uma câmera digital. E quando essa conexão é efetuada na porta USB, fica gravado no registro do Windows, uma série de informações sobre o dispositivo que um dia foi inserido na USB do micro.
Para um perito forense, esse tipo de informação gravado em uma chave do registro do Windows, é uma fonte rica de dados preciosos que pode resolver uma lide emanada no judiciário.
Por exemplo, digamos que um criminoso se defenda e diga que o pendrive dele não foi utilizado no computador da vítima para infectar o computador, e assim, obter dados sigilosos e confidenciais. Basta o perito consultar o registro do Windows e pronto, se o dispositivo USB estiver listado na chave de registro, é uma confirmação que o pendrive foi conectado na porta USB. Caberá ao Juiz decidir se o criminoso realmente praticou tal ato com intenção de obter dados confidenciais, mas desde imediato, fica comprovado e derrubado a tese da defesa, em que foi alegado que o pendrive nunca foi inserido na USB do computador da vítima.
Para listar os dispositivos que um dia foi conectado na porta USB do computador, basta localizar a seguinte pasta no registro do Windows:
1 – Clique em Iniciar, e digite regedit para entrar no registro do windows;
2 – Localize a seguinte chave no registro:
HLM -> System -> ControlSet001 -> Enum -> USBTOR
Se existir ControlSet002, ControlSet003 e assim por diante… pesquise em todas essas chaves, pois em cada uma delas, na chave USBTOR, estará listado todos os dispositivos USB que um dia, passaram pelo computador.
Para os leigos, a primeira resposta em mente é que não seria possível estabelecer uma relação entre o computador e o pen drive inserido na USB. Entretanto, profissionais que gostam da área forense, percebem que na área de TI, muita coisa interessante é registrado nos Sistemas Operacionais e jamais nos preocupamos com isso, quiçá saber que isso existia.
Aconselho aos profissionais de TI, mesmo que não se identifiquem com a área de perícia, estudar um pouco sobre a Computação Forense, poderá lhe servir em algum momento na sua carreira profissional.
Fica aqui a dica.
16 Comentários
Bom dia Roney,
Concordo com o seu artigo, não sabia exatamente como fazer estre procedimento, mas tinha idéia de que era possível sim encontrar estes tipos de registros.
Se pararmos para pensar, a maior parte dos sistemas diários dos quais utilizamos fazem um registro das atividades que foram feitas, seja um tracer para identificar o caminho percorrido em um sistema ou até mesmo o próprio Google, faça o teste se você estiver logado com sua conta aparecendo na hora da pesquisa se ele não armazena um histórico de todos os caminhos e palavras chaves que o usuário busca.
Abraço !
Diego,
Por isso que a atividade de um perito forense é muito interessante e intrigante, Novos conhecimentos que quase ninguém possui, abre novas oportunidades de mercado.
Abraços,
como faço para limpar esse registro do pc?
Roberta,
Basta entrar na chave do registro do windows e apagar as chaves dentro da pasta USBTOR.
Abraços,
E o registro dos teclados que inserimos?
Bom dia, gostaria de saber se é possível determinar o dia é a hora em que o pendrive foi conectado ao computador, pois pra minha perícia é de fundamental importância determinar o momento dessa conexão.
Grato pela atenção.
Roney, bom dia!
Existe a possibilidade de identificar com precisão a data/horário de conexão desses dispositivos e verificar qual usuário estava logado naquele momento?
Olá, eu gostaria de saber o contrario, quais evidencias ficam no pendrive ou no hd externo, mesmo um interno, quando ele é conectado como slave em outro micro.. quais arquivos sao salvos?
Como faço para saber quando foi desconectado, um hd externo sumiu da sala de servidores, tem como saber a data em que foi removido?
O nome que está foi dado ao pendrive aparece nos logs ?
Por exemplo : ” Julia”
Olá, sou advogado e achei este site em busca de informações para um caso muito interessante que me chegou. Uma moça, garota de programa dessas que tem anúncios em sites, recebeu um envelope com uma carta e um pen-drive dentro.
A carta dizia que se ela continuasse a trabalhar como garota de programa as fotos baixadas do site e que estavam dentro do pen-drive serão entregues para sua familia. Isso caracteriza constrangimento ilegal e é crime.
Pergunto: as fotos dentro do pen drive trazem alguma informação do computador usado para a cessar o tal site e baixá-las ? Número do IP ou coisa assim ??
E o próprio pen drive pode ter alguma informação do computador onde esteve conectado ?
Grato
É possível criar um script para comparar os dispositivos com base em um arquivo?
Certo, e os arquivos tem como serem recuperados neste caso?
Alessandro,
Pelo o que eu entendi, os arquivos podem ser recuperados diretamente no dispositivo móvel que um dia se conectou no Windows, através de algumas ferramentas de recuperação de dados deletados.
Entretanto, para que tenha sucesso, é necessário tentar recuperar os arquivos apagados logo após ser detectado o problema e nunca sobrescrever o dispositivo de armazenamento tentado recuperar.
Pois, se continuar a realizar gravações de novos arquivos no dispositivo, as chances de se recuperar os arquivos deletados serão mínimos, quase que nulo.
Roney sobre a recuperação de arquivos neste caso, o fato é que o dispositivo móvel que um dia foi inserido na maquina foi destruído e não existe backup em nenhum lugar. Neste caso, em consigo recuperar os arquivos?
Alessandro, como a recuperação de dados é realizado diretamente no dispositivo físico, caso ele não exista mais, então não será possível recuperar os arquivos. O windows somente indexa esses dispositivos móveis na chave de registro do windows, por isso o nome, “registro” mas não será possível recuperar os dados de uma mída que fisicamente não exista mais.
Os dados que se quer recuperar não ficam no windows, e sim, no dispositivo de armazenamento que, nesse caso, não existe mais.